Mac OS X Server Administration des services réseau. Pour la version 10.3 ou ultérieure



Documents pareils
Premiers contacts avec. Mac OS X Server. Informations sur l installation et la configuration de Mac OS X Server, version 10.2

Windows Internet Name Service (WINS)

Sur un ordinateur exécutant Windows 2000 Server Ayant une adresse IP statique

Installation et configuration d un serveur DHCP (Windows server 2008 R2)

1 DHCP sur Windows 2008 Server Introduction Installation du composant DHCP Autorisation d'un serveur DHCP...

Allocation de l adressage IP à l aide du protocole DHCP.doc

Mac OS X Server. Administration du service d impression Pour la version 10.4 ou ultérieure

Mise en place Active Directory / DHCP / DNS

FileMaker Server 14. Aide FileMaker Server

Informations sur le code source libre («Open Source») et les licences d utilisation

Mac OS X Server. Premiers contacts Version 10.6 Snow Leopard

DNS ( DOMAIN NAME SYSTEM)

Créer et partager des fichiers

Xsan Premiers contacts. Instructions pour la configuration de volumes partagés sur un réseau de stockage (SAN)

Mac OS X 10.6 Snow Leopard Guide d installation et de configuration

EPSON Scan Server & EPSON TWAIN Pro Network

CCNA Discovery Travailler dans une PME ou chez un fournisseur de services Internet

Domain Name Service (DNS)

FileMaker Server 14. Guide de démarrage

Mac OS X Server Administration des images système et de la mise à jour de logiciels Pour Leopard version 10.5

DNS : Domaine Name System

MANUEL D INSTALLATION

Domaine Name Service ( DNS )

Bravo! Vous venez d acquérir un routeur large bande à 4 ports Conceptronic C100BRS4H.

Mac OS X Server Gestion des utilisateurs Pour Leopard version 10.5

Installation de serveurs DNS, WINS et DHCP sous Windows Server 2003

Les clés d un réseau privé virtuel (VPN) fonctionnel

Configurer l adressage des serveurs et des clients

DNS. Olivier Aubert 1/27

Boot Camp Guide d installation et de configuration

TP redondance DHCP. Gillard Frédéric Page 1/17. Vue d ensemble du basculement DHCP

Share Monitor Manuel de l utilisateur

Guide d administration de Java Desktop System Configuration Manager Release 1.1

Manuel d utilisation du logiciel de messagerie personnelle Palm VersaMail 2.5

Installation DNS, AD, DHCP

CREER UN ENREGISTREMENT DANS LA ZONE DNS DU DOMAINE

Fondamentaux de l intégration Mac Ajout d un Mac à un réseau Windows ou utilisant d autres normes

EOS 6D (WG) Mode d emploi de la fonction Wi-Fi FRANÇAIS. Mode d'emploi

Travaux pratiques Configuration du protocole DHCP avec SDM et l interface de ligne de commande Cisco IOS

Guide d administration de Microsoft Exchange ActiveSync

FileMaker Pro 13. Utilisation d une Connexion Bureau à distance avec FileMaker Pro 13

Administration réseau Résolution de noms et attribution d adresses IP

Manuel d installation UCOPIA Advance

Guide de l utilisateur Mikogo Version Windows

Single User. Guide d Installation

Windows Serveur 2012 : DHCP. Installation et mise en place

Installation d un serveur DHCP sous Gnu/Linux

Tutorial Terminal Server sous

(1) Network Camera

Mac OS X Server Premiers contacts Pour version 10.4 ou ultérieure Supplément à la deuxième édition

Mac OS X Server Administration des technologies Web. Pour la version 10.3 ou ultérieure

Les possibilités de paramétrage réseau des logiciels de virtualisation sont les suivantes quant à la connexion réseau :

A-EAK (1) Network Camera

Fonctionnement du protocole DHCP. Protocole DHCP (S4/C7)

Administration Système & Réseau. Domain Name System Historique & Concepts Fonctionnalités & Hiérarchie Requêtes & Base de donnée DNS

Installation et utilisation du client FirstClass 11

Partie II PRATIQUE DES CPL

CONFIGURATION DE BASE. 6, Rue de l'industrie BP130 SOULTZ GUEBWILLER Cedex. Fax.: Tel.:

VM Card. Manuel des paramètres des fonctions étendues pour le Web. Manuel utilisateur

Le Protocole DHCP. Module détaillé

Fondamentaux de l intégration Mac 10.9 Ajout d un Mac à un réseau Windows ou autre réseau normalisé

Guide de prise en main Symantec Protection Center 2.1

Services Réseaux - Couche Application. TODARO Cédric

Etape 1 : Connexion de l antenne WiFi et mise en route

TR2 : Technologies de l'internet. Chapitre VII. Serveur DHCP Bootp Protocole, Bail Relais DHCP

Oléane VPN : Les nouvelles fonctions de gestion de réseaux. Orange Business Services

Installation ou mise à jour du logiciel système Fiery

Réseaux AirPort Apple

Xerox EX Print Server Powered by Fiery pour la Xerox Color J75 Press. Impression

Guide de démarrage rapide

Présentation du système DNS

Étude de l application DNS (Domain Name System)

Travaux pratiques Configuration d une carte réseau pour qu elle utilise DHCP dans Windows Vista

Déploiement de l iphone et de l ipad Gestion des appareils mobiles (MDM)

Installation Windows 2000 Server

Cisco Certified Network Associate

Guide de l utilisateur de Cisco Unified Communications Manager Assistant pour Cisco Unified Communications Manager 6.0

Fiery E100 Color Server. Impression

Final Cut Server. Guide de configuration et d administration

Formateurs : Jackie DAÖN Franck DUBOIS Médiapôle de Guyancourt

Installation de GFI MailEssentials

Gérer son DNS. Matthieu Herrb. tetaneutral.net. Atelier Tetaneutral.net, 10 février

Manuel de l utilisateur. Soft-phone - Client VoIP 3CX Version 6.0

Standard. Manuel d installation

WINDOWS NT 2000: Travaux Pratiques. -Boîtier partage d'imprimante- Michel Cabaré Janvier 2002 ver 1.0

Note de première mise en service. Passerelle ipro-04n. TTPMSiPRO04N R1.0 fr

Guide de l utilisateur du Centre de gestion des licences en volume LICENCES EN VOLUME MICROSOFT

Applications KIP Cloud Guide de l utilisateur

Cours LG : Administration de réseaux et sécurité informatique. Dans les Paramètres Système onglet Processeur, le bouton "Activer PAE/NX"

Manuel d Administration

Fondamentaux de l intégration Mac Ajout d un Mac à un réseau Windows ou autre réseau normalisé existant

Installation d'un serveur DHCP sous Windows 2000 Serveur

USER GUIDE. Interface Web

Domain Name Service (DNS)

Un peu de vocabulaire

Guide de connexion ROUTEUR THOMSON SPEEDTOUCH 510 Internet Oléane Open

L exemple d un serveur Proxy sous Windows NT 4 SERVER MICROSOFT PROXY SERVER 2 Installation et configuration Auteur : Eliane Bouillaux SERIA5

Contrôleur de communications réseau. Guide de configuration rapide DN

Database Manager Guide de l utilisateur DMAN-FR-01/01/12

Manuel de l'utilisateur

Transcription:

Mac OS X Server Administration des services réseau Pour la version 10.3 ou ultérieure

apple Apple Computer, Inc. 2003 Apple Computer, Inc. Tous droits réservés. Le détenteur ou l utilisateur autorisé d une copie valide du logiciel de Mac OS X Server peut reproduire cette publication dans le but d apprendre à utiliser le logiciel. Cette publication ne peut être reproduite ou transmise, même partiellement, à des fins commerciales telles que la vente d exemplaires de cette publication ou la prestation de services d assistance rémunérés. L utilisation du logo clavier d Apple (Option+Maj+K) à des fins commerciales, sans le consentement préalable écrit d Apple, pourra constituer un acte de contrefaçon et/ou de concurrence déloyale, contraire aux lois en vigueur. Apple, le logo Apple, AirPort, AppleScript, AppleShare, AppleTalk, Mac, Mac OS, Macintosh, Power Mac, Power Macintosh, QuickTime, Sherlock et WebObjects sont des marques déposées d Apple Computer, Inc., aux États-Unis et dans d autres pays. Adobe et PostScript sont des marques d Adobe Systems Incorporated. Java et tous les logos et marques dérivés de Java sont des marques ou des marques déposées de Sun Microsystems, Inc. aux États-Unis et dans d autres pays. UNIX est une marque déposée aux États-Unis et dans d autres pays, sous licence exclusive de X/Open Company, Ltd. Remarque : Apple améliore continuellement les performances et le design de ses produits. Il se peut que certaines illustrations de ce manuel soient légèrement différentes de votre version du logiciel. F022-1321

1 Table des matières Préface 5 Comment utiliser ce guide? 5 Contenu du guide 5 Utilisation de ce guide 6 Configuration initiale de Mac OS X Server 6 Aide concernant les tâches de gestion quotidiennes 6 Informations complémentaires Chapitre 1 7 Service DHCP 7 Avant de configurer le service DHCP 10 Configuration initiale du service DHCP 10 Gestion du service DHCP 15 Contrôle du service DHCP 16 Autres sources d informations Chapitre 2 17 Service DNS 18 Avant de configurer le service DNS 19 Configuration initiale du service DNS 21 Gestion du service DNS 22 Gestion des zones 26 Gestion des enregistrements 29 Contrôle du DNS 31 Sécurisation du serveur DNS 34 Tâches courantes d administration du réseau utilisant le service DNS 39 Configuration de BIND à l aide de la ligne de commande 43 Autres sources d informations Chapitre 3 45 Service de coupe-feu IP 47 Comprendre les filtres de coupe-feu 50 Configuration initiale du service de coupe-feu 51 Gestion du service de coupe-feu 58 Contrôle du service de coupe-feu 60 Exemples pratiques 62 Tâches courantes d administration réseau utilisant le service de coupe-feu 63 Configuration avancée 3

66 Références de ports 69 Autres sources d informations Chapitre 4 71 Service NAT 71 Démarrage et arrêt du service NAT 72 Configuration du service NAT 72 Contrôle du service NAT 73 Autres sources d informations Chapitre 5 75 Service VPN 76 VPN et sécurité 77 Avant de configurer le service VPN 77 Gestion du service VPN 80 Contrôle du service VPN 81 Autres sources d informations Chapitre 6 83 Service NTP 83 Fonctionnement du service NTP 84 Utilisation du service NTP sur votre réseau 84 Configuration du service NTP 85 Configuration du service NTP sur les ordinateurs clients 85 Autres sources d informations Chapitre 7 87 Gestion de IPv6 88 Services compatibles IPv6 88 Adresses IPv6 dans Admin Serveur 88 Adresses IPv6 90 Autres sources d informations Glossaire 91 Index 99 4 Table des matières

Comment utiliser ce guide? Préface Contenu du guide Ce guide est divisé en chapitres qui vous expliquent comment administrer différents services réseau de Mac OS X Server : Service DHCP Service DNS Service de coupe-feu IP Service NAT Service VPN Service NTP Gestion IPv6 Utilisation de ce guide Chaque chapitre couvre un service réseau particulier. Lisez le chapitre qui correspond au service que vous prévoyez de fournir à vos utilisateurs. Vous y trouverez des informations sur le fonctionnement du service, son utilité, les stratégies d utilisation, sa configuration initiale et son administration dans le temps. Lisez également les chapitres qui traitent des services avec lesquels vous n êtes pas familiarisé. Vous constaterez peut-être que certains des services que vous n aviez pas utilisés jusqu à présent peuvent vous permettre de gérer votre réseau de manière plus efficace et d en améliorer les performances pour vos utilisateurs. La plupart des chapitres se terminent par une section appelée Autres sources d informations. Cette section vous dirige vers des sites Web et des documents de référence contenant davantage d informations sur le service concerné. 5

Configuration initiale de Mac OS X Server Si vous n avez pas encore installé, puis configuré Mac OS X Server, procédez de suite. Reportez-vous au document Mac OS X Server Premiers contacts pour la version 10.3 ou ultérieure, fourni avec votre logiciel, pour trouver des instructions sur l installation et la configuration du serveur. Ce document fournit toutes les informations nécessaires, dans plusieurs environnements, pour démarrer votre serveur, le faire fonctionner et le rendre disponible pour une première utilisation. Consultez ce guide pour déterminer les services que vous souhaitez perfectionner ou étendre, pour identifier les nouveaux services que vous aimeriez configurer et pour en savoir plus sur les applications de serveur que vous utiliserez au cours de ces activités. Lisez ensuite les chapitres spécifiques dédiés à la configuration des services qui vous intéressent. Portez une attention toute particulière aux informations figurant dans les sections suivantes : Présentation générale de la configuration, Avant de commencer et Configuration initiale. Aide concernant les tâches de gestion quotidiennes Vous trouverez des instructions étape par étape qui vous permettront de modifier des réglages, de contrôler des services, d afficher l historique d un service ou d effectuer toute autre tâche d administration courante en consultant l aide en ligne disponible dans les applications d administration de serveur. Même si toutes les tâches d administration des services réseau sont également expliquées dans le guide d administration des services réseau, il est parfois plus pratique de rechercher des informations à l écran via l aide en ligne lorsque vous utilisez le serveur. Informations complémentaires Outre ce document, vous trouverez également des informations sur Mac OS X Server : dans Mac OS X Server Premiers contacts pour la version 10.3 ou ultérieure, qui vous explique l installation et la configuration initiales de votre serveur, sur le site www.apple.com/server, dans l aide en ligne de votre serveur, dans les fichiers Ouvrez-moi situés sur le CD de votre serveur. 6 Préface Comment utiliser ce guide?

1 Service DHCP 1 Le service DHCP (Dynamic Host Configuration Protocol) vous permet d administrer les adresses IP et de les distribuer à des ordinateurs clients à partir de votre serveur. Lors de la configuration du serveur DHCP, vous affectez un bloc d adresses IP qui peuvent être mises à la disposition des clients. Chaque fois qu un ordinateur client configuré pour utiliser le service DHCP démarre, il recherche le serveur DHCP sur votre réseau. S il en détecte un, l ordinateur client demande alors une adresse IP. Le serveur DHCP recherche une adresse IP disponible et l envoie à l ordinateur client en indiquant une période de bail (durée pendant laquelle l ordinateur client pourra utiliser cette adresse) et les informations relatives à la configuration. Vous pouvez utiliser le module DHCP d Admin Serveur pour : Configurer et administrer le service DHCP. Créer et administrer des sous-réseaux. Configurer les options DNS, LDAP et WINS pour des ordinateurs clients. Visualiser la durée de bail des adresses DHCP. Si votre organisation compte plus d ordinateurs clients que d adresses IP, vous avez avantage à utiliser le service DHCP. Les adresses IP sont affectées au cas par cas et lorsqu elles ne sont pas nécessaires, elles sont mises à la disposition des autres clients. Si nécessaire, vous pouvez utiliser une combinaison d adresses IP statiques et dynamiques pour votre réseau. Pour plus de détails sur l affectation statique et dynamique d adresses IP, consultez la section suivante. Les organisations peuvent profiter des fonctions du service DHCP, telles que la possibilité de définir les options DNS (Domain Name System) et LDAP (Lightweight Directory Access Protocol) pour des ordinateurs clients sans autre configuration nécessaire sur l ordinateur client. Avant de configurer le service DHCP Avant d installer le service DHCP, lisez la présente section pour obtenir des informations sur la création de sous-réseaux, l affectation d adresses IP statiques et dynamiques, la localisation de votre serveur sur le réseau et la possibilité d ignorer des adresses IP réservées. 7

Création de sous-réseaux Les sous-réseaux sont des regroupements d ordinateurs se trouvant sur le même réseau afin de simplifier leur administration. Vous pouvez organiser des sous-réseaux à votre convenance. Par exemple, vous pouvez créer des sous-réseaux pour divers groupes dans votre organisation ou différents étages d un immeuble. Une fois que vous avez regroupé les ordinateurs clients en sous-réseaux, vous pouvez configurer des options pour tous les ordinateurs d un sous-réseau en une seule fois plutôt que de définir des options pour chaque ordinateur client individuellement. Chaque sousréseau doit disposer d un mode de connexion aux autres sous-réseaux. Un périphérique appelé routeur permet généralement de relier les sous-réseaux. Affectation dynamique d adresses IP Avec l affectation dynamique, une adresse IP est affectée pour une durée limitée (la durée de bail), ou jusqu à ce que l ordinateur client n ait plus besoin de l adresse IP, selon le cas qui se présente en premier. En utilisant des délais courts, le protocole DHCP peut réaffecter des adresses IP sur les réseaux ayant plus d ordinateurs que d adresses IP. Les adresses affectées aux clients d un réseau VPN (Virtual Private Network) sont distribuées de la même manière que les adresses DHCP, mais ne proviennent pas de la même plage d adresses qu elles. Si vous prévoyez d utiliser un réseau VPN, veillez à laisser quelques adresses DHCP non affectées pour le réseau VPN. Pour en savoir plus sur le réseau VPN, reportez-vous au chapitre 5, Service VPN, à la page 75. Utilisation d adresses IP statiques Les adresses IP statiques sont affectées à un ordinateur ou à un périphérique une seule fois et ne changent pas. Vous pouvez en affecter à des ordinateurs devant assurer une présence Internet continue, tels que les serveurs Web. Les autres périphériques qui doivent être continuellement disponibles pour les utilisateurs du réseau, comme les imprimantes, peuvent également profiter des adresses IP statiques. Les adresses IP statiques doivent être configurées manuellement en saisissant l adresse IP sur l ordinateur ou le périphérique auquel l adresse a été affectée. Les adresses IP statiques configurées manuellement permettent d éviter les problèmes que certains services peuvent rencontrer avec les adresses DHCP et d éviter le délai nécessaire à l affectation des adresses DHCP. N incluez pas les plages d adresses IP statiques dans la plage des adresses distribuées par DHCP. 8 Chapitre 1 Service DHCP

Localisation du serveur DHCP Lorsqu un ordinateur client recherche un serveur DHCP, il diffuse un message. Si votre serveur DHCP se trouve sur un sous-réseau différent de celui de l ordinateur client, vous devez vérifier que les routeurs qui connectent vos sous-réseaux peuvent réexpédier les diffusions du client et les réponses du serveur DHCP. Tout agent ou routeur relais de votre réseau pouvant relayer des communications BootP fonctionnera avec le serveur DHCP. Si vous ne disposez d aucun moyen pour relayer les communications BootP, vous devez placer le serveur DHCP sur le même sous-réseau que votre ordinateur client. Interaction avec d autres serveurs DHCP Votre réseau peut comporter d autres serveurs DHCP, tels que les bornes d accès AirPort. Mac OS X Server peut cohabiter avec d autres serveurs DHCP tant que chacun d eux utilise un pool unique d adresses IP. Toutefois, vous pouvez souhaiter que votre serveur DHCP fournisse une adresse de serveur LDAP pour la configuration automatique de l ordinateur client dans les environnements gérés. Les bornes d accès AirPort ne peuvent pas fournir d adresse de serveur LDAP. Pour utiliser la fonction de configuration automatique, vous devez donc configurer les bornes d accès AirPort en mode de pontage Ethernet et régler Mac OS X Server pour qu il fournisse le service DHCP. Si les bornes d accès AirPort se trouvent sur des sous-réseaux distincts, vos routeurs doivent être configurés pour réexpédier les diffusions des clients et les réponses du serveur DHCP comme décrit précédemment. Si vous souhaitez proposer le service DHCP avec les bornes d accès AirPort, vous ne pouvez pas utiliser la fonction de configuration automatique de l ordinateur client et devez donc saisir manuellement les adresses du serveur LDAP sur les stations de travail clientes. Utilisation de plusieurs serveurs DHCP sur un réseau Plusieurs serveurs DHCP peuvent se trouver sur le même réseau. Toutefois, il est important qu ils soient correctement configurés pour ne pas interférer entre eux. Chaque serveur doit disposer d un fonds unique d adresses IP à distribuer. Affectation d adresses IP réservées Certaines adresses IP ne peuvent pas être affectées à des hôtes individuels. Il s agit d adresses réservées pour des boucles et pour diffusion. Votre FAI ne peut vous affecter des adresses de ce type. Si vous essayez de configurer votre serveur DHCP pour utiliser ce type d adresses, vous recevrez un avertissement vous indiquant que ces adresses ne sont pas valides, et il vous faudra saisir des adresses valides. Complément d informations sur le processus DHCP Mac OS X Server utilise un processus démon appelé bootpd, qui est responsable de l affectation des adresses du service DHCP. Pour plus d informations sur bootpd et ses options de configuration avancées, vous pouvez accéder à sa page man via l utilitaire Terminal. Chapitre 1 Service DHCP 9

Configuration initiale du service DHCP Si vous avez utilisé l Assistant réglages pour configurer des ports sur votre serveur au moment de l installation de Mac OS X Server, certaines données DHCP sont déjà configurées. Pour terminer la configuration du service DHCP, vous devez suivre les instructions indiquées dans cette section. Pour chaque étape, vous trouverez un complément d information sur les réglages à la section Gestion du service DHCP à la page 10. Étape 1 : Création de sous-réseaux Les instructions suivantes expliquent comment créer un pool d adresses IP partagées par les ordinateurs clients sur votre réseau. Vous créez une plage d adresses partagées pour chaque sous-réseau. Ces adresses sont affectées par le serveur DHCP lorsqu un client émet une requête. Consultez la section Création de sous-réseaux dans le service DHCP à la page 11. Étape 2 : Définition des historiques pour le service DHCP Vous pouvez consigner l activité et les erreurs du service DHCP afin de contrôler les requêtes et identifier les problèmes de votre serveur. Le service DHCP enregistre des messages de diagnostic dans le fichier historique du système. Pour éviter que ce fichier ne devienne trop volumineux, vous pouvez supprimer la plupart des messages en modifiant les réglages de l historique dans la fenêtre Consignation des réglages du service DHCP. Pour en savoir plus sur la configuration des historiques pour le service DHCP, consultez la section Réglage du niveau de détail de l historique du service DHCP à la page 15. Étape 3 : Démarrage du service DHCP Consultez la section Démarrage et arrêt du service DHCP à la page 10. Gestion du service DHCP Cette section explique comment configurer et gérer le service DHCP sur Mac OS X Server. Cela comprend le démarrage du service, la création de sous-réseaux et la définition de réglages facultatifs tels que LDAP ou DNS pour un sous-réseau. Démarrage et arrêt du service DHCP Procédez comme suit pour démarrer ou arrêter le service DHCP. Au moins un sousréseau doit être créé et activé. Pour démarrer ou arrêter le service DHCP : 1 Dans Admin Serveur, choisissez DHCP dans la liste Ordinateurs et services. 2 Vérifiez qu au moins une interface réseau et sous-réseau est configurée et sélectionnée. 3 Cliquez sur Démarrer le service ou Arrêter le service. 10 Chapitre 1 Service DHCP

Lorsque le service est activé, le bouton Arrêter le service est disponible. Création de sous-réseaux dans le service DHCP Les sous-réseaux sont des regroupements d ordinateurs clients sur le même réseau, qui peuvent être organisés par emplacement (différents étages d un immeuble, par exemple) ou par utilisation (tous les élèves de 3e, par exemple). Chaque sous-réseau possède au moins une plage d adresses IP. Pour créer un sous-réseau : 1 Dans Admin Serveur, choisissez DHCP dans la liste Ordinateurs et services. 2 Cliquez sur Réglages. 3 Sélectionnez l onglet Sous-réseaux. 4 Cliquez sur Ajouter ou double-cliquez sur un sous-réseau existant. 5 Sélectionnez l onglet Général. 6 Saisissez un nom descriptif pour le nouveau sous-réseau (facultatif). 7 Saisissez une adresse IP de début et de fin pour la plage de ce sous-réseau. Les adresses doivent être contiguës et ne peuvent empiéter sur les plages d autres sous-réseaux. 8 Saisissez le masque de sous-réseau pour la plage d adresses du réseau. 9 Choisissez l Interface du réseau dans le menu local. 10 Saisissez l adresse IP du routeur de ce sous-réseau. Si le serveur que vous êtes en train de configurer est le routeur du sous-réseau, saisissez l adresse IP interne LAN de ce serveur comme adresse du routeur. 11 Définissez la durée du bail en heures, jours, semaines ou mois. 12 Si vous souhaitez définir des informations DNS, LDAP ou WINS pour ce sous-réseau, saisissez-les maintenant. Pour plus d informations, consultez les sections Réglage du serveur DNS pour un sousréseau DHCP à la page 12, Configuration des options LDAP pour un sous-réseau à la page 13 et Configuration des options WINS pour un sous-réseau à la page 14. 13 Cliquez sur Enregistrer. Modification des réglages des sous-réseaux dans le service DHCP Utilisez Admin Serveur pour modifier les réglages d un sous-réseau DHCP existant. Vous pouvez modifier la plage d adresses IP, le masque de sous-réseau, l interface réseau, le routeur ou la durée du bail. Pour modifier les réglages du sous-réseau : 1 Dans Admin Serveur, choisissez DHCP dans la liste Ordinateurs et services. 2 Cliquez sur Réglages. Chapitre 1 Service DHCP 11

3 Sélectionnez l onglet Sous-réseaux. 4 Sélectionnez un sous-réseau. 5 Cliquez sur Modifier. 6 Effectuez les changements souhaités. Ces changements peuvent inclure l ajout d informations sur DNS, LDAP ou WINS. Vous pouvez également redéfinir des plages d adresses ou rediriger l interface réseau qui répond aux requêtes DHCP. 7 Cliquez sur Enregistrer. Suppression de sous-réseaux du service DHCP Vous pouvez supprimer des sous-réseaux et des plages d adresses IP de sous-réseaux qui ne seront plus distribuées aux clients. Pour supprimer des sous-réseaux ou des plages d adresses : 1 Dans Admin Serveur, choisissez DHCP dans la liste Ordinateurs et services. 2 Cliquez sur Réglages. 3 Sélectionnez un sous-réseau. 4 Cliquez sur Supprimer. 5 Cliquez sur Enregistrer pour confirmer la suppression. Modification de la durée du bail des adresses IP d un sous-réseau Vous pouvez modifier la durée pendant laquelle les adresses IP d un sous-réseau sont disponibles pour les ordinateurs clients. Pour changer la durée de bail d une plage d adresses de sous-réseau : 1 Dans Admin Serveur, choisissez DHCP dans la liste Ordinateurs et services. 2 Cliquez sur Réglages. 3 Sélectionnez l onglet Sous-réseaux. 4 Sélectionnez une plage de sous-réseau et cliquez sur Modifier. 5 Sélectionnez l onglet Général. 6 Sélectionnez une échelle de temps dans le menu local Durée du bail (heures, jours, semaines ou mois). 7 Saisissez un nombre dans le champ Durée du bail. 8 Cliquez sur Enregistrer. Réglage du serveur DNS pour un sous-réseau DHCP Vous pouvez choisir les serveurs DNS et le nom du domaine par défaut qu un sousréseau doit utiliser. Le service DHCP fournit ces informations aux ordinateurs clients du sous-réseau. 12 Chapitre 1 Service DHCP

Pour définir des options DNS pour un sous-réseau : 1 Dans Admin Serveur, choisissez DHCP dans la liste Ordinateurs et services. 2 Cliquez sur Réglages. 3 Sélectionnez l onglet Sous-réseaux. 4 Sélectionnez un sous-réseau et cliquez sur Modifier. 5 Sélectionnez l onglet DNS. 6 Saisissez le domaine par défaut du sous-réseau. 7 Saisissez les adresses IP des serveurs de noms principal et secondaire que vous souhaitez que les clients DHCP utilisent. 8 Cliquez sur Enregistrer. Configuration des options LDAP pour un sous-réseau Vous pouvez utiliser DHCP pour fournir à vos clients des informations sur le serveur LDAP au lieu d effectuer une configuration manuelle pour chacun d eux. L ordre d apparition des serveurs LDAP détermine l ordre de recherche dans la règle de recherche automatique Open Directory. Si vous utilisez actuellement ce Mac OS X Server comme serveur maître LDAP, les options LDAP contiennent déjà les informations de configuration nécessaires. Si votre serveur maître LDAP est une autre machine, vous devez connaître le nom de domaine ou l adresse IP de la base de données LDAP que vous souhaitez utiliser. Vous devez également connaître la base de recherche LDAP. Pour définir les options LDAP d un sous-réseau : 1 Dans Admin Serveur, choisissez DHCP dans la liste Ordinateurs et services. 2 Cliquez sur Réglages. 3 Sélectionnez l onglet Sous-réseaux. 4 Sélectionnez un sous-réseau et cliquez sur Modifier. 5 Cliquez sur l onglet LDAP. 6 Saisissez le nom de domaine ou l adresse IP du serveur LDAP pour ce sous-réseau. 7 Saisissez la base de recherche pour les recherches LDAP. 8 Saisissez le numéro de port LDAP, si vous utilisez un port non standard. 9 Sélectionnez LDAP via SSL, si nécessaire. 10 Cliquez sur Enregistrer. Chapitre 1 Service DHCP 13

Configuration des options WINS pour un sous-réseau Vous pouvez fournir des informations complémentaires aux ordinateurs clients exécutant Windows dans un sous-réseau en ajoutant les réglages spécifiques de Windows aux données de configuration du réseau DHCP. Ces réglages spécifiques de Windows permettent aux clients Windows de parcourir leur Voisinage réseau. Vous devez connaître le nom de domaine ou l adresse IP des serveurs principal et secondaire WINS/NBNS (il s agit généralement de l adresse IP du serveur DHCP), ainsi que le type de noeud NBT (qui est généralement diffusion ). Le serveur NBDD et l identifiant (ID) d étendue NetBios ne sont généralement pas utilisés, mais vous en aurez peut-être besoin, selon la configuration de vos ordinateurs clients Windows et de l infrastructure réseau de Windows. Pour définir les options WINS pour un sous-réseau : 1 Dans Admin Serveur, choisissez DHCP dans la liste Ordinateurs et services. 2 Cliquez sur Réglages. 3 Sélectionnez l onglet Sous-réseaux. 4 Sélectionnez un sous-réseau et cliquez sur Modifier. 5 Cliquez sur l onglet WINS. 6 Saisissez le nom de domaine ou l adresse IP des serveurs principal et secondaire WINS/NBNS pour ce sous-réseau. 7 Saisissez le nom de domaine ou l adresse IP du serveur NBDD pour ce sous-réseau. 8 Choisissez le type de noeud NBT dans le menu local. 9 Saisissez l identifiant (ID) d étendue NetBIOS. 10 Cliquez sur Enregistrer. Désactivation temporaire des sous-réseaux Vous pouvez suspendre temporairement un sous-réseau sans perdre ses réglages. Cela signifie qu aucune adresse IP de la plage du sous-réseau ne sera distribuée à un client sur l interface sélectionnée. Pour désactiver un sous-réseau : 1 Dans Admin Serveur, choisissez DHCP dans la liste Ordinateurs et services. 2 Cliquez sur Réglages. 3 Sélectionnez l onglet Sous-réseaux. 4 Désélectionnez la case Activer à côté du sous-réseau que vous souhaitez désactiver. 14 Chapitre 1 Service DHCP

Contrôle du service DHCP Vous aurez besoin de contrôler le service DHCP. Vous avez deux possibilités pour contrôler le service DHCP. Premièrement, vous pouvez consulter la liste des clients ; deuxièmement, vous pouvez contrôler les fichiers d historique générés par le service. Ces historiques peuvent vous aider à résoudre les problèmes réseau. Les sections suivantes traitent de ces modes de contrôle du service DHCP. Affichage de la vue d ensemble de l état du service DHCP La vue d ensemble de l état du service DHCP propose un récapitulatif sommaire de ce dernier. Elle indique si le service est actif ou non, le nombre de clients qu il comporte et l heure à laquelle il a démarré. Il indique également le nombre d adresses IP affectées de manière statique depuis vos sous-réseaux, ainsi que la date de la dernière mise à jour de la base de données clients. Pour afficher la vue d ensemble : 1 Dans Admin Serveur, choisissez DHCP dans la liste Ordinateurs et services. 2 Cliquez sur le bouton Vue d ensemble. Réglage du niveau de détail de l historique du service DHCP Vous pouvez choisir le niveau de détail souhaité pour les historiques du service DHCP. Faible (erreurs uniquement) indiquera les cas où vous devez intervenir immédiatement (par exemple, si le serveur DHCP ne démarre pas). Ce niveau correspond au rapport de bootpd en mode quiet (silencieux), identifié par l indicateur -q. Moyen (erreurs et messages) peut vous avertir lorsque des données sont incohérentes, mais que le serveur DHCP peut encore fonctionner. Ce niveau correspond au rapport par défaut de bootpd. Élevé (tous les événements) enregistre toute l activité du service DHCP, y compris les fonctions routines. Ce niveau correspond au rapport de bootpd en mode verbose (maximal), identifié par l indicateur -v. Pour configurer le niveau de détail de l historique : 1 Dans Admin Serveur, choisissez DHCP dans la liste Ordinateurs et services. 2 Cliquez sur Réglages. 3 Sélectionnez l onglet Consignation. 4 Choisissez l option de consignation souhaitée. 5 Cliquez sur Enregistrer. Visualisation des entrées d historique du service DHCP Si vous avez activé la consignation pour le service DHCP, vous pouvez consulter l historique système pour connaître les erreurs DHCP. Chapitre 1 Service DHCP 15

Pour afficher des entrées d historique DHCP : 1 Dans Admin Serveur, choisissez DHCP dans la liste Ordinateurs et services. 2 Cliquez sur Historique. Visualisation de la liste des clients DHCP La fenêtre Clients DHCP fournit les informations suivantes pour chaque client : L adresse IP fournie au client. Le nombre de jours restant pour la durée du bail tant qu il n est pas inférieur à 24 heures ; ensuite, le nombre d heures et de minutes. L identifiant du client DHCP. Il correspond en général, mais pas systématiquement, à l adresse matérielle. Le nom de l ordinateur. L identifiant Ethernet. Pour afficher la liste des clients DHCP : 1 Dans Admin Serveur, choisissez DHCP dans la liste Ordinateurs et services. 2 Cliquez sur Clients. Cliquez sur un en-tête de colonne pour trier la liste selon divers critères. Autres sources d informations Les documents RFC (Request for Comments) offrent un aperçu d un protocole ou service et présentent de manière détaillée comment le protocole doit se comporter. Si vous êtes administrateur serveur débutant, vous trouverez probablement certaines informations utiles dans les RFC. Si vous êtes administrateur serveur expérimenté, vous trouverez tous les détails techniques sur un protocole particulier dans le document RFC correspondant. Vous pouvez rechercher les documents RFC par numéro sur le site www.faqs.org/rfcs Pour des informations détaillées sur le service DHCP, consultez le RFC 2131. Pour plus d informations sur bootpd et ses options de configuration avancées, consultez la page man de bootpd. 16 Chapitre 1 Service DHCP

2 Service DNS 2 Lorsque vos clients cherchent à se connecter à une ressource réseau, telle qu un serveur Web ou un serveur de fichiers, ils utilisent en général son nom de domaine (comme www.exemple.com) plutôt que son adresse IP (comme 192.168.12.12). Le système DNS (Domain Name System) est une base de données distribuée mappant des adresses IP vers des noms de domaines afin que vos clients localisent les ressources par leur nom plutôt que par leur adresse numérique. Un serveur DNS met à jour la liste des noms de domaines et des adresses IP associées à chaque nom. Lorsqu un ordinateur a besoin de l adresse IP correspondant à un nom, il envoie un message au serveur DNS (également appelé serveur de noms). Le serveur de noms cherche l adresse IP et la renvoie à l ordinateur. Si le serveur de noms ne trouve pas l adresse IP en local, il envoie des messages à d autres serveurs de noms sur Internet pour l obtenir. Le processus de configuration et de maintenance d un serveur DNS est complexe. C est pourquoi de nombreux administrateurs font appel à leur fournisseur d accès à Internet (FAI) pour les services DNS. Si tel est le cas, il ne vous reste plus qu à configurer vos préférences réseau avec l adresse IP du serveur de noms que votre fournisseur vous a indiquée. Si votre fournisseur ne peut pas traiter les demandes DNS pour votre réseau et que l une des affirmations suivantes se vérifie, vous devez configurer le service DNS : Vous n avez pas la possibilité d utiliser le service DNS de votre FAI ou tout autre source. Vous envisagez de modifier souvent l espace de noms et voulez le gérer vous-même. Vous disposez d un serveur de courrier sur votre réseau et rencontrez des problèmes de coordination avec le fournisseur chargé de votre domaine. Mac OS X Server utilise Berkeley Internet Name Domain (BIND v.9.2.2) pour l implémentation des protocoles DNS. BIND est une implémentation open source utilisée par la majorité des serveurs de noms sur Internet. 17

Avant de configurer le service DNS Cette section comporte des informations dont il est recommandé de tenir compte avant de configurer le service DNS sur votre réseau. Les problèmes qu implique l administration DNS sont aussi complexes que nombreux. La configuration du service DNS sur un réseau doit être effectuée uniquement par un administrateur DNS expérimenté. Vous pouvez envisager de créer un compte de messagerie appelé hostmaster pour recevoir le courrier et l envoyer à la personne qui fait fonctionner le serveur DNS sur votre site. Cela permet aux utilisateurs et aux autres administrateurs DNS de vous contacter au sujet de problèmes liés au service DNS. DNS et BIND Vous devez maîtriser complètement ce domaine avant de configurer votre propre serveur DNS. Pour vous documenter sur le DNS, lisez DNS and BIND, 4ème édition, de Paul Albitz et Cricket Liu (O Reilly and Associates, 2001). Remarque : Apple peut vous aider à trouver un conseiller réseau pour implémenter votre service DNS. Vous pouvez prendre contact avec Apple Professional Services et Apple Consultants Network sur le Web à l adresse www.apple.com/services/ ou www.apple.com/consultants Configuration de plusieurs serveurs de noms Vous devez configurer au moins un serveur de noms principal et un autre secondaire. De cette manière, le serveur de noms secondaire peut prendre la relève au cas où le serveur de noms principal s arrête subitement. Un serveur secondaire obtient des données du serveur principal en copiant régulièrement toutes les informations sur le domaine de ce dernier. Une fois que le serveur de noms obtient le couple nom/adresse d un hôte dans un autre domaine (c est-à-dire en dehors du domaine qu il dessert), les informations sont mises en cache afin de garantir que les adresses IP des noms récemment résolus sont stockées pour une utilisation ultérieure. Les informations DNS sont en général mises en cache sur votre serveur de noms pour une durée déterminée, désignée par la valeur time-to-live (TTL). Lorsque la valeur TTL d un couple nom de domaine/adresse IP est arrivée à expiration, l entrée correspondante est supprimée de la mémoire cache du serveur de noms. Votre serveur redemande alors les informations dont il a besoin. 18 Chapitre 2 Service DNS

Configuration initiale du service DNS Si vous utilisez un serveur de noms DNS externe et avez entré son adresse IP dans l Assistant réglages, vous n avez rien d autre à faire. Si vous configurez votre propre serveur DNS, suivez les étapes décrites dans cette section. Étape 1 : Enregistrement de votre nom de domaine L enregistrement d un nom de domaine est géré par une organisation centralisée nommée IANA (Internet Assigned Numbers Authority). IANA garantit l unicité des noms de domaines à travers Internet (consultez la page www.iana.org pour en savoir plus). Si vous n enregistrez pas votre nom de domaine, votre réseau ne pourra pas communiquer sur Internet. Une fois le nom de domaine enregistré, vous pouvez créer des sous-domaines si votre serveur DNS est configuré sur votre réseau pour effectuer le suivi des noms et des adresses IP des sous-domaines. Par exemple, si vous enregistrez le nom de domaine exemple.com, vous pouvez créer les sous-domaines hôte1.exemple.com, courrier.exemple.com ou www.exemple.com. Le serveur d un sous-domaine peut s appeler principal.www.exemple.com ou sauvegarde.www.exemple.com. Le serveur DNS pour exemple.com assure le suivi des informations pour ses sous-domaines, telles que les noms d hôtes (ou d ordinateurs), les adresses IP statiques, les alias et les échangeurs de courrier. Si votre FAI gère votre service DNS, vous devrez l informer de toutes les modifications apportées à votre espace de noms, y compris l ajout de sous-domaines. La plage d adresses IP utilisées pour un domaine donné doit être clairement précisée avant la configuration. Ces adresses sont uniquement utilisées pour un domaine spécifique (et jamais par un autre domaine ou sous-domaine). La plage d adresses doit être communiquée à votre administrateur réseau ou fournisseur d accès. Étape 2 : Formation et planification Si c est la première fois que vous travaillez avec le DNS, vous devez apprendre et comprendre les concepts, les outils et les fonctions DNS de Mac OS X Server et de BIND. Reportez-vous à la section Autres sources d informations, à la page 43. Ensuite, planifiez votre service DNS. Vous pouvez vous poser les questions suivantes lors de la planification : Avez-vous réellement besoin d un serveur DNS local? Votre FAI fournit-il le service DNS? Pourriez-vous utiliser les noms Rendezvous à la place? De combien de serveurs aurez-vous besoin en cas de chargement anticipé? De combien de serveurs aurez-vous besoin pour les sauvegardes? Ainsi, vous devrez désigner un second, voire un troisième ordinateur pour le service DNS de sauvegarde. Quelle est votre stratégie de sécurité en cas d utilisation illicite? Chapitre 2 Service DNS 19

À quelle fréquence devez-vous programmer les inspections ou tests périodiques des enregistrements DNS pour vérifier l intégrité des données? Combien de services ou de périphériques (comme un site Web intranet ou une imprimante réseau) auront-ils besoin d un nom? Quelle méthode allez-vous utiliser pour configurer le DNS? Il existe deux façons de configurer le service DNS sur Mac OS X Server. La première (recommandée) consiste à configurer le service DNS en utilisant Admin Serveur. Pour plus d informations, reportez-vous à la section Gestion du service DNS à la page 21 pour les instructions. La seconde façon de configurer le DNS consiste à modifier le fichier de configuration de BIND. BIND est le jeu de programmes utilisé par Mac OS X Server qui implémente le DNS. L un de ces programmes est le démon des noms ou named. Pour installer et configurer BIND, vous devez modifier le fichier de configuration et le fichier de zone. Le fichier de configuration se trouve dans le fichier suivant : /etc/named.conf Le nom du fichier de zone est créé à partir du nom de la zone. Ainsi, le fichier de zone exemple.com se trouve dans le fichier suivant : /var/named/exemple.com.zone Pour plus de détails, consultez la section Configuration de BIND à l aide de la ligne de commande à la page 39. Étape 3 : Configuration des réglages de base du DNS Pour plus d informations, consultez la section Gestion du service DNS à la page 21. Étape 4 : Création d une zone DNS Utilisez Admin Serveur pour configurer des zones DNS. Pour obtenir des instructions, consultez la section Gestion des zones à la page 22. Après avoir ajouté une zone maîtresse, Admin Serveur crée automatiquement un enregistrement NS portant le même nom que la SOA (Source of Authority). Étape 5 : Ajout d enregistrements Adresse et autres à la zone Utilisez Admin Serveur pour ajouter des enregistrements à votre Zone. Créez un enregistrement Adresse pour tous les ordinateurs ou périphériques (imprimante, serveur de fichiers, etc.) possédant une adresse IP statique et ayant besoin d un nom. Lorsque vous créez un enregistrement A, vous avez la possibilité de demander la création d un enregistrement de recherche inverse et de la zone correspondante. Pour obtenir des instructions, consultez la section Gestion des enregistrements à la page 26. 20 Chapitre 2 Service DNS

Étape 6 : Configuration d un enregistrement MX (Mail Exchange, facultatif) Si vous proposez un service de courrier sur Internet, vous devez configurer un enregistrement MX pour votre serveur. Pour plus de détails, consultez la section Configuration des enregistrements MX à la page 34. Étape 7 : Configuration de la zone de recherche inverse (facultatif) Chaque fois que vous créez une zone, Mac OS X Server crée une zone de recherche inverse. Les zones de recherche inverse convertissent les adresses IP en noms de domaine, alors que les recherches normales convertissent les noms de domaine en adresses IP. Si vous n avez pas demandé la création des enregistrements de recherche inverse lors de la création initiale de vos enregistrements A, vous devrez probablement configurer votre zone de recherche inverse après sa création. Étape 8 : Démarrage du service DNS Mac OS X Server offre une interface simple pour démarrer et arrêter le service DNS. Pour plus d informations, consultez la section Démarrage et arrêt du service DNS à la page 21. Gestion du service DNS Mac OS X Server offre une interface simple pour démarrer et arrêter le service DNS et visualiser les historiques et les états. Les réglages DNS de base peuvent être configurés à l aide d Admin Serveur. Les fonctions plus avancées nécessitent la configuration du BIND à partir de la ligne de commande et ne sont pas traitées dans ce manuel. Démarrage et arrêt du service DNS Procédez comme suit pour démarrer ou arrêter le service DNS. N oubliez pas de redémarrer le service DNS après chaque modification du service DNS effectuée dans Admin Serveur. Pour démarrer ou arrêter le service DNS : 1 Dans Admin Serveur, choisissez DNS dans la liste Ordinateurs et services. 2 Assurez-vous qu au moins une Zone et sa zone de recherche inverse sont créées et entièrement configurées. 3 Cliquez sur Démarrer le service ou Arrêter le service. Le démarrage et l arrêt du service peuvent prendre un instant. Activation ou désactivation des transferts de zone Dans le DNS (Domain Name System), le transfert de zone permet de dupliquer les données de zone sur les serveurs DNS de référence. Les serveurs DNS secondaires ( esclaves ) utilisent les transferts de zone pour acquérir leurs données sur les serveurs DNS principaux ( maîtres ). Les transferts de zone doivent être activés pour utiliser les serveurs DNS secondaires. Chapitre 2 Service DNS 21

Pour activer ou désactiver le transfert de zone : 1 Dans Admin Serveur, choisissez DNS dans la liste Ordinateurs et services. 2 Cliquez sur Réglages. 3 Sélectionnez l onglet Général. 4 Sélectionnez ou désélectionnez Autoriser les transferts de zone, selon le cas. Activation ou désactivation de la récursion La récursion est un procédé permettant de résoudre complètement les noms de domaine en adresses IP. Les applications des utilisateurs dépendent du serveur DNS pour l exécution de cette fonction. Les autres serveurs DNS qui lancent des requêtes sur le vôtre n ont pas à effectuer la récursion. Pour empêcher des utilisateurs malveillants de corrompre les enregistrements de la zone maîtresse ( corruption de cache ou cache poisoning ) ou de favoriser une utilisation illicite du service DNS, vous pouvez désactiver la récursion. Toutefois, si vous l arrêtez, vos propres utilisateurs ne pourront plus utiliser le service DNS pour rechercher des noms en dehors de vos zones. Vous ne devez donc désactiver la récursion que si aucun client n utilise ce serveur DNS pour la résolution de noms et qu aucun serveur ne l utilise pour les réexpédier. Pour activer ou désactiver la récursion : 1 Dans Admin Serveur, choisissez DNS dans la liste Ordinateurs et services. 2 Cliquez sur Réglages. 3 Sélectionnez l onglet Général. 4 Sélectionnez ou désélectionnez Autoriser la récursion, selon le cas. Si vous choisissez d activer la récursion, vous avez la possibilité de la désactiver pour les adresses IP externes, mais de l activer pour les adresses IP du réseau LAN, en modifiant le fichier named.conf de BIND. Pour plus d informations, reportez-vous à la documentation de BIND. Gestion des zones Les zones sont l élément de base de l organisation du système de nom de domaine (DNS). Les zones contiennent des enregistrements et sont définies en fonction de leur mode d acquisition de ces enregistrements et de leur mode de réponse aux requêtes DNS. Il existe trois sortes de zones : Maîtresse Une zone maîtresse possède la copie maîtresse des enregistrements de la zone et fournit les réponses officielles aux requêtes de recherche. 22 Chapitre 2 Service DNS

Esclave Une zone esclave correspond à une copie de la zone maîtresse stockée sur un serveur de noms esclave ou secondaire. Chaque zone esclave conserve une liste des maîtres qu elle contacte pour recevoir les mises à jour des enregistrements de la zone maîtresse. Les esclaves doivent être configurés pour demander la copie des données de la zone maîtresse. Les zones esclaves utilisent les transferts de zone pour obtenir ces copies. Les serveurs de noms esclaves peuvent traiter les requêtes de recherche comme les serveurs maîtres. L utilisation de plusieurs zones esclaves liées à une seule zone maîtresse vous permet de répartir la charge des requêtes DNS entre plusieurs ordinateurs et de garantir que les requêtes de recherche obtiennent une réponse lorsque le serveur de noms maître est hors service. Les zones esclaves disposent également d un intervalle d actualisation. Celui-ci détermine la fréquence à laquelle les zones esclaves vérifient si des modifications ont été apportées à la zone maîtresse. Vous pouvez modifier l intervalle d actualisation de la zone en utilisant le fichier de configuration de BIND. Pour plus d informations, reportezvous à la documentation de BIND. Réexpédition Une zone de réexpédition transfère toutes les requêtes de recherche destinées à cette zone vers d autres serveurs DNS. Les zones de réexpédition n effectuent pas de transferts de zone. Bien souvent, les serveurs de zones de réexpédition sont utilisés pour offrir les services DNS à un réseau privé situé derrière un coupe-feu. Dans ce cas, le serveur DNS doit avoir accès à Internet et à un autre serveur DNS situé en dehors du coupe-feu. Ajout d un zone maîtresse Une zone maîtresse possède la copie maîtresse des enregistrements de la zone et fournit les réponses officielles aux requêtes de recherche. Après avoir créé la zone maîtresse, Admin Serveur crée automatiquement un enregistrement NS portant le même nom que la SOA (Source of Authority). Pour ajouter une zone maîtresse : 1 Dans Admin Serveur, choisissez DNS dans la liste Ordinateurs et services. 2 Cliquez sur Réglages. 3 Sélectionnez l onglet Zones. 4 Cliquez sur Ajouter sous la liste Zones. 5 Saisissez un nom de zone. Le nom de zone doit être suivi d un point : exemple.com. 6 Choisissez Maîtresse dans le menu local Type de zone. 7 Saisissez le nom d hôte de la SOA du domaine. Chapitre 2 Service DNS 23

Si cet ordinateur est le serveur de noms officiel du domaine, saisissez le nom d hôte de l ordinateur (suivi d un point final). Par exemple, sdn.exemple.com. 8 Saisissez l adresse électronique de l administrateur de la zone. L adresse électronique doit comporter un point à la place du @ et doit également être suivie d un point final. Par exemple, l adresse électronique admin@exemple.com doit être saisie comme suit : admin.exemple.com. (n oubliez pas le point final). 9 Cliquez sur OK, puis sur Enregistrer. Ajout d une zone esclave Une zone esclave est une copie de la zone maîtresse stockée sur un serveur de noms esclave ou secondaire. Les esclaves doivent être configurés pour demander la copie des données de la zone maîtresse. Les zones esclaves utilisent les transferts de zone pour obtenir ces copies. Pour ajouter une zone esclave : 1 Dans Admin Serveur, choisissez DNS dans la liste Ordinateurs et services. 2 Cliquez sur Réglages. 3 Sélectionnez l onglet Zones. 4 Cliquez sur Ajouter sous la liste Zones. 5 Saisissez un nom de zone. Le nom de zone doit être suivi d un point : exemple.com. 6 Choisissez Esclave dans le menu local Type de zone. 7 Cliquez sur OK. 8 Cliquez sur Ajouter sous la fenêtre Serveurs maîtres pour sauvegarde. 9 Saisissez les adresses IP des serveurs maîtres de cette zone. 10 Cliquez sur Enregistrer. 24 Chapitre 2 Service DNS

Ajout d une zone de réexpédition Une zone de réexpédition transfère toutes les requêtes de recherche vers d autres serveurs DNS. Pour ajouter une zone de réexpédition : 1 Dans Admin Serveur, choisissez DNS dans la liste Ordinateurs et services. 2 Cliquez sur Réglages. 3 Sélectionnez l onglet Zones. 4 Cliquez sur Ajouter sous la liste Zones. 5 Saisissez un nom de zone. Le nom de zone doit être suivi d un point : exemple.com. 6 Choisissez le type de zone Réexpédition dans le menu local Type de zone. 7 Cliquez sur OK. 8 Cliquez sur Ajouter sous la fenêtre Serveurs de réexpédition pour fwd. 9 Saisissez les adresses IP des serveurs maîtres de cette zone. 10 Cliquez sur Enregistrer. Duplication d une zone Vous pouvez créer une copie d une zone existante sur le même ordinateur. Cette action peut vous permettre d accélérer la configuration de plusieurs zones. Pour dupliquer une zone : 1 Dans Admin Serveur, choisissez DNS dans la liste Ordinateurs et services. 2 Cliquez sur Réglages. 3 Sélectionnez l onglet Zones. 4 Cliquez sur le bouton Dupliquer sous la liste Zones. 5 Si vous le souhaitez, double-cliquez sur la zone nouvellement dupliquée pour modifier le nom de la zone, la SOA ou l adresse électronique de l administrateur. 6 Cliquez sur Enregistrer. Chapitre 2 Service DNS 25

Modification d une zone Cette section décrit la modification d un type de zone et de ses réglages, mais pas celle des enregistrements d une zone. Vous devrez peut-être modifier l adresse électronique de l administrateur, le type ou le nom de domaine d une zone. Pour modifier une zone : 1 Dans Admin Serveur, choisissez DNS dans la liste Ordinateurs et services. 2 Cliquez sur Réglages. 3 Sélectionnez l onglet Zones. 4 Cliquez sur le bouton Modifier sous la liste Zones. 5 Modifiez le nom, le type ou l adresse électronique de l administrateur de la zone, selon le cas. Pour plus d informations sur les types de zones, reportez-vous à la section Gestion des zones à la page 22. 6 Cliquez sur OK, puis sur Enregistrer. Suppression d une zone Cette section explique comment supprimer une zone existante. Cette action supprime la zone et tous les enregistrements qui lui sont associés. Pour supprimer une zone : 1 Dans Admin Serveur, choisissez DNS dans la liste Ordinateurs et services. 2 Cliquez sur Réglages. 3 Sélectionnez l onglet Zones. 4 Cliquez sur le bouton Supprimer sous la liste Zones. 5 Cliquez sur Enregistrer pour confirmer la suppression. Gestion des enregistrements Chaque zone contient un certain nombre d enregistrements. Ces enregistrements sont demandés lorsqu un ordinateur client doit convertir un nom de domaine (comme www.exemple.com) en numéro IP. Les navigateurs Web, les clients de messagerie et autres applications réseau se fient aux enregistrements de la zone pour s adresser au serveur adéquat. Les enregistrements de la zone maîtresse seront consultés par d autres utilisateurs qui cherchent à se connecter à vos services réseau via Internet. Il existe plusieurs sortes d enregistrements DNS. Les enregistrements qui peuvent être configurés par l interface utilisateur d Admin Serveur sont : Adresse (A) : stocke l adresse IP associée à un nom de domaine. 26 Chapitre 2 Service DNS

Nom canonique (CNAME) : stocke le nom réel d un serveur lorsque celui-ci possède un surnom ou alias. Le serveur courrier.apple.com, par exemple, peut avoir comme nom canonique SrvCourrier473.apple.com. Échangeur de courrier (MX) : contient le nom de domaine de l ordinateur utilisé pour le courrier électronique d une zone. Serveur de noms (NS) : contient le serveur de noms de référence pour une zone donnée. Pointeur (PTR) : contient le nom de domaine d une adresse IP donnée (recherche inverse). Texte (TXT): contient une chaîne de texte en réponse à une requête DNS. Si vous avez besoin d accéder à d autres types d enregistrements, il vous faudra modifier manuellement les fichiers de configuration de BIND. Pour plus de détails, reportez-vous à la documentation de BIND. Ajout d un enregistrement à une zone Vous devez ajouter des enregistrements pour chaque nom de domaine (exemple.com) et nom de sous-domaine (machine.exemple.com) dont la zone DNS maîtresse est responsable. Vous ne devez pas ajouter d enregistrements pour les noms de domaine que cette zone ne contrôle pas. Pour ajouter un enregistrement : 1 Dans Admin Serveur, choisissez DNS dans la liste Ordinateurs et services. 2 Cliquez sur Réglages. 3 Sélectionnez l onglet Zones. 4 Sélectionnez la Zone à laquelle cet enregistrement doit être ajouté. 5 Cliquez sur le bouton Ajouter sous la liste Enregistrements. 6 Sélectionnez un type d enregistrement dans le menu local Type. 7 Dans le premier champ, saisissez le nom de domaine totalement qualifié. Le nom de domaine doit être suivi d un point final : exemple.com. Si vous créez un enregistrement PTR, saisissez l adresse IP à la place. Si vous créez un enregistrement TXT, saisissez la chaîne de texte voulue. 8 Dans le second champ, pour les types d enregistrements suivants, saisissez : Enregistrements A : l adresse IP. Enregistrements AAAA : l adresse IPv6. Enregistrements C-NAME : le nom réel de l ordinateur. Enregistrements MX : le nom (suivi d un point final) ou l adresse IP de l échangeur de courrier du domaine. Enregistrements PTR : le nom de domaine complet suivi d un point final. Chapitre 2 Service DNS 27

9 Si vous créez un enregistrement A, sélectionnez Créer un enregistrement de mappage inverse pour créer automatiquement l enregistrement PTR correspondant. 10 Cliquez sur OK, puis sur Enregistrer. Modification d un enregistrement dans une zone Si vous modifiez fréquemment l espace de noms du domaine, il vous faudra mettre à jour les enregistrements DNS après chaque modification de l espace de noms. Une mise à niveau du matériel ou tout ajout à un nom de domaine peuvent également nécessiter la mise à jour des enregistrements DNS. Pour modifier un enregistrement : 1 Dans Admin Serveur, choisissez DNS dans la liste Ordinateurs et services. 2 Cliquez sur Réglages. 3 Sélectionnez l onglet Zones. 4 Sélectionnez la zone dans laquelle cet enregistrement va être modifié. 5 Double-cliquez sur l enregistrement à modifier ou sélectionnez l enregistrement et cliquez sur le bouton Modifier. 6 Apportez les modifications nécessaires à l enregistrement. Vous pouvez modifier le nom d hôte, le type d enregistrement ou le numéro IP. 7 Cliquez sur OK. Suppression d un enregistrement d une zone Vous devez supprimer les enregistrements lorsqu un nom de domaine n est plus associé à une adresse valide. Pour supprimer un enregistrement : 1 Dans Admin Serveur, choisissez DNS dans la liste Ordinateurs et services. 2 Cliquez sur Réglages. 3 Sélectionnez l onglet Zones. 4 Sélectionnez la zone dans laquelle cet enregistrement va être supprimé. 5 Sélectionnez l enregistrement à supprimer. 6 Cliquez sur le bouton Supprimer sous la liste Enregistrements. 7 Cliquez sur Enregistrer pour confirmer la suppression. 28 Chapitre 2 Service DNS

Contrôle du DNS Il est conseillé de contrôler l état du DNS pour régler les problèmes de résolution de noms, vérifier la fréquence d utilisation du service DNS ou encore vérifier que le service DNS n est pas utilisé de façon malveillante ou illicite. Cette section traite des tâches de contrôle courantes du service DNS. Affichage de l état du service DNS Vous pouvez consulter la fenêtre État du DNS pour voir : Si le service est actif. La version de BIND (le logiciel sous-jacent du DNS) utilisée. L heure de démarrage et d arrêt du service. Le nombre de zones affectées. Pour afficher l état du service DNS : 1 Dans Admin Serveur, choisissez DNS dans la liste Ordinateurs et services. 2 Cliquez sur le bouton Vue d ensemble pour consulter des informations générales sur le service DNS. Affichage de l activité du service DNS Vous pouvez consulter la fenêtre État du DNS pour voir : Le nombre de transferts en cours et reportés. Si le service charge le fichier de configuration. Si le service s amorce. Si la consignation de requêtes est ou non activée. Le nombre de requêtes SOA (Start of Authority) en cours. Pour afficher l activité du service DNS : 1 Dans Admin Serveur, choisissez DNS dans la liste Ordinateurs et services. 2 Cliquez sur Activité pour visualiser les opérations en cours d exécution. Affichage des entrées d historique DNS Le service DNS crée des entrées dans l historique système pour les messages d erreur et d alerte. Pour afficher des entrées d historique DNS : 1 Dans Admin Serveur, choisissez DNS dans la liste Ordinateurs et services. 2 Cliquez sur Historique. Modification du niveau de détail de l historique DNS Vous pouvez changer le niveau de détail de l historique du service DNS. Vous pouvez utiliser soit un historique très détaillé pour le débogage, soit un historique moins détaillé n affichant que les avertissements critiques. Chapitre 2 Service DNS 29

Pour modifier le niveau de détail de l historique : 1 Dans Admin Serveur, choisissez DNS dans la liste Ordinateurs et services. 2 Cliquez sur Réglages. 3 Sélectionnez l onglet Consignation. 4 Choisissez le niveau de détail voulu dans le menu local Niv. d historique. Les niveaux d historique disponibles sont : Critique (le moins détaillé) Erreur Avertissement Note Information Déboguer (le plus détaillé) Modification de l emplacement du fichier d historique DNS Vous pouvez changer l emplacement de l historique du service DNS. Il est conseillé de le placer à un autre emplacement que le chemin par défaut. Pour changer le niveau de détail de l historique : 1 Dans Admin Serveur, choisissez DNS dans la liste Ordinateurs et services. 2 Cliquez sur Réglages. 3 Sélectionnez l onglet Consignation. 4 Saisissez le nouveau chemin du fichier d historique du service DNS, ou sélectionnez-le en utilisant le bouton Parcourir. Si aucun chemin n est saisi, l emplacement par défaut est /var/logs/. Affichage des statistiques d utilisation du service DNS Vous pouvez consulter la fenêtre Statistiques DNS pour connaître les statistiques sur les requêtes DNS courantes. Certaines requêtes DNS courantes commencent par : Serveur de noms (NS) : demande le serveur de noms de référence pour une zone donnée. Adresse (A) : demande l adresse IP associée à un nom de domaine. Nom canonique (CName) : sollicite le nom réel d un serveur en cas d introduction d un surnom ou d un alias. Le serveur courrier.apple.com, par exemple, peut avoir comme nom canonique SrvCourrier473.apple.com. Pointeur (PTR) : demande le nom de domaine pour une adresse IP donnée (recherche inverse). Échangeur de courrier (MX) : demande l ordinateur utilisé pour le courrier dans une zone. 30 Chapitre 2 Service DNS

Source d autorité (SOA) : demande des informations sur le serveur de noms partagées avec d autres serveurs de noms et, éventuellement, l adresse électronique du contact technique pour ce serveur de noms. Texte (TXT) : demande les enregistrements texte utilisés par l administrateur. Pour afficher les statistiques d utilisation du service DNS : 1 Dans Admin Serveur, choisissez DNS dans la liste Ordinateurs et services. 2 Cliquez sur Activité pour afficher les opérations en cours d exécution et les statistiques d utilisation. Sécurisation du serveur DNS Les serveurs DNS sont non seulement sollicités par d autres serveurs Internet légitimes, mais sont également la cible d utilisateurs malveillants (couramment appelés pirates ). Les serveurs DNS sont exposés à des attaques de différentes sortes. En prenant des précautions supplémentaires, vous pouvez prévenir les problèmes et l immobilisation engendrés par ces utilisateurs malveillants. Il existe plusieurs sortes de détournements de la sécurité associées au service DNS. Ces attaques sont : DNS Spoofing. Server Mining. Profilage du service DNS. Déni de service (DoS, Denial of Service). Service Piggybacking. DNS Spoofing Le DNS spoofing consiste à ajouter de fausses données dans le cache du serveur DNS. Cela permet aux pirates d effectuer les opérations suivantes : Rediriger les requêtes d un nom de domaine réel vers d autres adresses IP. Par exemple, un enregistrement A falsifié pour une banque peut diriger le navigateur d un utilisateur vers une autre adresse IP contrôlée par le pirate. Sur le site dupliqué, l utilisateur révélera donc, sans le savoir, son numéro de compte et son mot de passe au pirate. De même, un enregistrement de courrier falsifié peut permettre à un pirate d intercepter les messages envoyés depuis et vers un domaine. Si le pirate réexpédie ces messages vers le bon serveur de courrier après les avoir copiés, cela peut passer inaperçu indéfiniment. Entraver la résolution des noms de domaine et l accès à Internet. Il s agit de l attaque DNS par spoofing la plus bénigne. Elle provoque un dysfonctionnement du serveur DNS à peine perceptible. Chapitre 2 Service DNS 31

La méthode la plus efficace pour se prémunir contre ces attaques est la vigilance. Cela comprend la mise à jour des logiciels et le contrôle régulier des enregistrements DNS. Des exploits ont été trouvés dans la version actuelle de BIND. Ces exploits ont donc été corrigés et une mise à jour de sécurité est disponible pour Mac OS X Server. Appliquez tous les correctifs de ce type. Un contrôle régulier de vos enregistrements DNS peut également être utile pour prévenir ces attaques. Server Mining Le server mining est une pratique qui consiste à obtenir une copie de la totalité d une zone maîtresse en demandant un transfert de zone. Dans ce cas, le pirate se fait passer pour une zone esclave d une autre zone maîtresse et demande une copie de tous les enregistrements de votre zone maîtresse. Avec une copie de votre zone maîtresse, le pirate peut voir le type de services qu offre le domaine, ainsi que l adresse IP des serveurs qui fournissent ces services. Il peut alors intenter des attaques spécifiques en fonction de ces services. C est une reconnaissance avant une autre attaque. Pour contrer ce type d attaque, vous devez indiquer les adresses IP qui sont autorisées à demander des transferts de zone (vos serveurs de zone esclaves) et rejeter toutes les autres. Les transferts de zone s effectuent avec TCP sur le port 53. La méthode de limitation des transferts de zone bloque toutes les demandes de transfert sauf celles provenant de vos serveurs DNS esclaves. m Pour indiquer les adresses IP autorisées à demander un transfert de zone : Créez un filtre coupe-feu qui autorise uniquement les adresses IP situées à l intérieur de votre coupe-feu à accéder au port TCP 53. Suivez les instructions de la section Création d un filtre IP avancé pour les ports TCP au chapitre 3, Service de coupe-feu IP. Utilisez les réglages suivants : Autoriser le paquet. Port 53. Protocole TCP. L IP source correspond à l adresse IP de votre serveur DNS esclave. L IP destinataire correspond à l adresse IP de votre serveur DNS maître. Profilage du service DNS Une autre technique de reconnaissance couramment employée par les utilisateurs malveillants consiste à profiler (ou personnaliser) votre service DNS. Le pirate commence par effectuer une requête de la version de BIND. Le serveur lui indique la version de BIND en cours d exécution. Le pirate compare ensuite la réponse aux exploits et failles connus de cette version de BIND. Pour vous prémunir contre cette attaque, vous pouvez configurer BIND pour qu il réponde en utilisant de fausses informations. 32 Chapitre 2 Service DNS

Pour fausser la réponse de la version de BIND : 1 Lancez un éditeur de texte à ligne de commande (tel que vi, emacs ou pico). 2 Ouvrez named.conf pour le modifier. 3 Ajoutez le texte suivant dans les crochets options du fichier de configuration. version [votre texte, par exemple non communiqué! ] ; 4 Enregistrez le fichier de configuration. Déni de service (DoS, Denial of Service) Ce type d attaque est très courant et très facile à lancer. Un pirate envoie un nombre si important de demandes et de requêtes de service que le serveur doit utiliser toute sa puissance de traitement et la bande passante réseau pour essayer d y répondre. Le pirate bloque ainsi l utilisation normale du service en le saturant. Il est difficile de prévenir ce type d attaque avant son apparition. Un contrôle permanent du service DNS et de la charge du serveur peut permettre à l administrateur de détecter l attaque rapidement et d en limiter ainsi les effets néfastes. Le moyen le plus aisé de se prémunir contre cette attaque est de bloquer l adresse IP responsable avec votre coupe-feu. Consultez la section Création d un filtre IP avancé pour les ports TCP à la page 54. Malheureusement, cela signifie que l attaque est déjà en cours, que les requêtes du pirate sont prises en compte et que l activité a déjà été consignée. Service Piggybacking Cette attaque est rarement l oeuvre de pirates, mais plutôt d utilisateurs Internet ordinaires. Ils estiment que leur temps de réponse DNS par leur propre fournisseur d accès à Internet est trop lent. Ils apprennent cette astuce auprès d autres utilisateurs. Les utilisateurs d Internet vont configurer leur ordinateur pour qu il interroge un autre serveur DNS plutôt que celui de leur FAI. En conséquence, beaucoup plus d utilisateurs que prévu accéderont au serveur DNS. Vous pouvez vous prémunir contre cela en limitant ou en désactivant la récursion DNS. Si vous prévoyez d offrir le service DNS aux utilisateurs de votre LAN, ils auront besoin de la récursion pour résoudre les noms de domaine, mais il est préférable de ne pas offrir ce service à n importe quel utilisateur d Internet. Pour bloquer totalement la récursion, consultez la section Activation ou désactivation de la récursion à la page 22. Chapitre 2 Service DNS 33

La meilleure solution est d autoriser la récursion pour les requêtes provenant des adresses IP de votre plage, mais de refuser la récursion aux adresses externes. BIND vous permet de spécifier cette option dans le fichier de configuration named.conf. Modifiez votre fichier named.conf en ajoutant : options {... allow-recursion{ 127.0.0.0/8; [votre plage d adresses IP internes, telle que 192.168.1.0/27]; }; }; Pour plus d informations, reportez-vous à la documentation de BIND. Tâches courantes d administration du réseau utilisant le service DNS Les sections suivantes décrivent certaines tâches courantes d administration du réseau nécessitant le service DNS. Configuration des enregistrements MX Si vous envisagez de proposer un service de courrier sur votre réseau, vous devez configurer le service DNS afin que le courrier entrant soit envoyé à l hôte de courrier approprié. Lors de la configuration du service de courrier, vous déterminez une série d hôtes nommés échangeurs de courrier ou hôtes MX avec des priorités variables. L hôte possédant la plus haute priorité recevra le courrier en premier. S il n est pas disponible, celui avec une priorité un peu plus basse reçoit le courrier, etc. Par exemple, supposons que le nom d hôte du serveur de courrier soit fiable dans le domaine exemple.com. Sans enregistrement MX, les adresses électroniques des utilisateurs incluraient le nom du serveur de courrier, par exemple : nom@fiable.exemple.com Si vous voulez modifier le serveur de courrier ou rediriger le courrier, vous devez informer les expéditeurs potentiels du changement d adresse de vos utilisateurs. Vous avez également la possibilité de créer un enregistrement MX pour chaque domaine pris en charge par votre serveur de courrier, puis d acheminer le courrier vers l ordinateur approprié. 34 Chapitre 2 Service DNS

Lorsque vous établissez un enregistrement MX, vous devez inclure une liste de tous les ordinateurs susceptibles de recevoir du courrier pour un domaine. Ainsi, si le serveur est occupé ou hors service, le courrier sera envoyé à un autre ordinateur. Un numéro de priorité est affecté à chaque ordinateur de la liste. L ordinateur dont le numéro est le plus petit est essayé en premier. Si cet ordinateur n est pas disponible, le système consulte le numéro suivant, etc. Lorsqu un ordinateur est disponible, il récupère le courrier et l envoie au serveur de courrier principal une fois que celui-ci est accessible pour qu il se charge de la distribution du courrier. Voici un exemple de liste : exemple.com 10 fiable.exemple.com 20 sauvegarde.exemple.com 30 dernier-ressort.exemple.com Les enregistrements MX sont également utilisés pour le courrier sortant. Lorsque votre serveur envoie du courrier, il examine les enregistrements MX pour savoir si la destination est locale ou située sur Internet. Le même processus se répète ensuite en sens inverse. Si le serveur principal de destination n est pas disponible, votre serveur de courrier essaie de contacter tous les ordinateurs de la liste MX de destination, jusqu à ce que l un d entre eux accepte le courrier. Remarque : si vous ne saisissez pas correctement les informations MX dans votre serveur DNS, le service de courrier ne fonctionnera pas. Configuration du DNS pour le service de courrier Configurer le DNS pour le service de courrier revient à activer les enregistrements de l échangeur de courrier (MX, Mail Exchanger) avec votre propre serveur DNS. Si vous utilisez le service DNS de votre fournisseur d accès à Internet (FAI), vous devez prendre contact avec ce dernier pour qu il active vos enregistrements MX. N effectuez les étapes suivantes que si vous fournissez votre propre service DNS. Pour activer les enregistrements MX : 1 Dans Admin Serveur, choisissez DNS dans la liste Ordinateurs et services. 2 Cliquez sur Réglages. 3 Sélectionnez l onglet Zones. 4 Sélectionnez la Zone à utiliser. 5 Cliquez sur le bouton Ajouter sous la fenêtre Enregistrements. 6 Choisissez MX dans le menu local Type. 7 Saisissez le nom de domaine (comme exemple.com. ) dans le champ De. 8 Saisissez le nom du serveur de courrier (comme courrier.exemple.com. ) dans le champ Vers. 9 Saisissez un numéro d ordre de priorité. Chapitre 2 Service DNS 35

10 Cliquez sur OK. Activation des serveurs de courrier redondants Vous devrez peut-être configurer plusieurs serveurs pour la redondance. Si tel est le cas, il vous faudra ajouter des informations supplémentaires à chaque enregistrement MX. Créez un enregistrement pour chaque serveur auxiliaire. Cette action se décompose en deux étapes : Ces instructions supposent que vous possédiez un enregistrement MX existant pour un serveur de courrier principal. Si ce n est pas le cas, reportez-vous à la section Configuration du DNS pour le service de courrier à la page 35. Étape 1 : Modification de l enregistrement MX du serveur de courrier principal 1 Dans Admin Serveur, choisissez DNS dans la liste Ordinateurs et services. 2 Cliquez sur Réglages. 3 Sélectionnez l onglet Zones. 4 Sélectionnez la Zone à utiliser. 5 Cliquez sur l enregistrement MX du serveur de courrier principal dans la fenêtre Enregistrements. 6 Cliquez sur le bouton Modifier sous la fenêtre Enregistrements. 7 Saisissez un numéro d ordre peu élevé pour ce serveur. Un numéro peu élevé indique que le serveur sera choisi en priorité, s il est disponible, pour recevoir le courrier. 8 Cliquez sur OK. 9 Passez à l étape 2. Étape 2 : Création d enregistrements et de priorités pour les serveurs de courrier auxiliaires Ces instructions présupposent que vous ayez modifié l enregistrement MX d origine. Si ce n est pas le cas, veuillez le corriger avant de continuer. Ces instructions présupposent également que vous ayez déjà installé et configuré un ou plusieurs serveurs de courrier auxiliaires. Pour activer les serveurs de courrier de sauvegarde ou redondants : 1 Dans Admin Serveur, sélectionnez DNS dans la fenêtre Ordinateurs et services. 2 Cliquez sur Réglages. 3 Sélectionnez l onglet Zones. 4 Sélectionnez la Zone à utiliser. 5 Cliquez sur le bouton Ajouter sous la fenêtre Enregistrements. 36 Chapitre 2 Service DNS

6 Choisissez MX dans le menu local Type. 7 Saisissez le nom de domaine (comme exemple.com. ) dans le champ De. 8 Saisissez le nom du serveur de courrier (par exemple, sauvegarde.exemple.com. ) dans le champ Vers. 9 Saisissez un numéro d ordre qui doit être plus élevé pour ce serveur que celui du serveur principal. Un numéro plus élevé indique qu il sera choisi si le serveur principal est indisponible. 10 Cliquez sur OK. Configuration d un espace de noms derrière un routeur NAT Si vous vous trouvez derrière un routeur de traduction d adresses réseau (NAT, Network Address Translation), vous disposez d un jeu spécial d adresses IP qui ne sont utilisables qu au sein de l environnement NAT. Si vous deviez affecter un nom de domaine à ces adresses en dehors du routeur NAT, aucun nom de domaine ne serait résolu sur le bon ordinateur. Reportez-vous au chapitre 4, Service NAT, à la page 71 pour plus d informations sur le NAT. Vous pouvez toutefois faire fonctionner un service DNS derrière le routeur, en affectant des noms d hôte aux adresses IP du NAT. Ainsi, si vous vous trouvez derrière le routeur NAT, vous pouvez saisir des noms de domaine au lieu des adresses IP pour accéder aux serveurs, aux services et aux stations de travail. Votre serveur DNS doit également disposer d une zone de réexpédition pour envoyer les requêtes DNS à l extérieur du routeur NAT, afin de permettre la résolution des noms en dehors de la zone couverte par le routeur. Les réglages réseau de vos clients doivent mentionner le serveur DNS situé derrière le routeur NAT. Le processus de configuration de l un de ces réseaux est identique à celui d un réseau privé. Pour plus de détails, consultez la section Configuration d un réseau TCP/IP privé à la page 38. Si vous choisissez de le faire, les noms saisis par les utilisateurs se trouvant en dehors du routeur NAT ne seront pas résolus en adresses derrière celui-ci. Vous devez paramétrer les enregistrements DNS situés en dehors de la zone couverte par le routeur NAT pour qu ils soient dirigés vers le routeur NAT, et utiliser la réexpédition vers le port NAT pour accéder aux ordinateurs situés derrière le routeur NAT. Pour plus d informations sur la réexpédition de port, reportez-vous au chapitre 4, Service NAT, à la page 71. La fonction Rendezvous de Mac OS X vous permet d utiliser les noms d hôte de votre sous-réseau local se terminant par le suffixe.local sans avoir à activer le DNS. Tous les services ou périphériques qui gèrent Rendezvous permettent d utiliser un espace de noms défini par l utilisateur sur le sous-réseau local sans avoir besoin d installer et de configurer le DNS. Chapitre 2 Service DNS 37

Répartition de la charge du réseau (ou permutation circulaire) BIND permet de répartir la charge simplement en utilisant une méthode de permutation d adresses appelée permutation circulaire. Vous établissez un pool d adresses IP pour plusieurs hôtes possédant le même contenu et BIND fait tourner l ordre des adresses pour répondre aux requêtes. Cette permutation circulaire ne permet pas de contrôler la charge du serveur et la puissance de traitement. Elle permet simplement de faire tourner l ordre d une liste d adresses pour un nom d hôte donné. Vous activez la permutation circulaire en ajoutant plusieurs entrées d adresses dans votre fichier de données de zones pour un hôte donné. Par exemple, imaginons que vous vouliez répartir le trafic du serveur Web entre trois serveurs de votre réseau possédant le même contenu. Supposons que ces serveurs possèdent les adresses IP 192.168.12.12, 192.168.12.13 et 192.168.12.14. Il vous faudrait ajouter les lignes suivantes dans le fichier des données de zone db.exemple.com : www.exemple.com 60 IN A 192.168.12.12 www.exemple.com 60 IN A 192.168.12.13 www.exemple.com 60 IN A 192.168.12.14 Lorsque BIND détecte plusieurs entrées pour un hôte, son comportement par défaut consiste à répondre aux requêtes en envoyant cette liste dans un ordre cyclique. La première requête obtient les adresses dans l ordre A, B, C. La requête suivante les obtient dans l ordre B, C, A, celle d après dans l ordre C, A, B, etc. Vous remarquerez que la durée de vie (TTL) de la deuxième colonne est définie pour être assez courte pour atténuer les effets de la mise en cache locale. Configuration d un réseau TCP/IP privé Si votre réseau local dispose d une connexion à Internet, vous devez configurer votre serveur et vos ordinateurs clients avec des adresses IP et d autres informations propres à Internet. Ces adresses IP vous sont attribuées par votre fournisseur d accès à Internet (FAI). S il est peu probable que votre réseau local soit un jour connecté à Internet et si vous souhaitez recourir au protocole TCP/IP pour transmettre des informations sur votre réseau, vous pouvez configurer un réseau TCP/IP privé. Lorsque vous configurez un réseau privé, vous devez choisir vos adresses IP parmi les blocs d adresses que l IANA (Internet Assigned Numbers Authority) réserve aux réseaux privés (Intranets) : 10.0.0.0 à 10.255.255.255 (préfixe 10/8) 172.16.0.0 à 172.31.255.255 (préfixe 172.16/12) 192.168.0.0 192.168.255.255 (préfixe 192.168/16) 38 Chapitre 2 Service DNS

Important : si vous pensez devoir vous connecter à l avenir à Internet, vous devez vous enregistrer avec un registre Internet et utiliser les adresses IP fournies par le registre lors de la configuration de votre réseau privé. Sinon, vous devrez reconfigurer chaque ordinateur en réseau au moment de vous connecter à Internet. Lorsque vous configurez un réseau TCP/IP privé, vous pouvez également fournir le service DNS. Si vous configurez le protocole TCP/IP et le service DNS sur votre réseau local, vos utilisateurs pourront accéder facilement aux fichiers, au Web, au courrier et aux autres services de votre réseau. Hébergement de plusieurs services Internet à une seule adresse IP Un seul serveur doit fournir tous vos services Internet (tels que courrier, Web). Tous ces services peuvent en effet fonctionner sur un seul ordinateur avec une même adresse IP. Par exemple, vous voulez que le nom de domaine www.exemple.com soit résolu vers la même adresse IP que ftp.exemple.com ou courrier.exemple.com. La configuration des enregistrements DNS pour ce service est simple. Vous aurez toujours besoin d un jeu complet d enregistrements DNS, un pour chaque nom que vous souhaitez résoudre. Configurez les enregistrements MX pour le courrier électronique, afin que courrier.exemple.com soit résolu vers l adresse IP de votre serveur. Configurez les enregistrements A pour chaque service fourni par votre serveur, afin que web.exemple.com soit résolu vers l adresse IP de votre serveur. Faites la même chose pour tous les services que vous fournissez (ftp.apple.com, partagedefichiers.apple.com ou tout autre service). Pour suivre l évolution de vos besoins, vous pouvez ajouter d autres ordinateurs au réseau afin de prendre en charge ces services. Il vous suffit ensuite de mettre à jour l enregistrement DNS, sans avoir à modifier les réglages de votre client. Configuration de BIND à l aide de la ligne de commande Afin de pouvoir configurer et utiliser le service DNS sur Mac OS X Server, vous pouvez configurer BIND avec la ligne de commande. Cette configuration implique des modifications dans les fichiers de configuration UNIX de l application Terminal. Pour configurer BIND, vous devez maîtriser les commandes UNIX et utiliser un éditeur de texte UNIX. Ne manipulez ces réglages que si vous connaissez parfaitement DNS et BIND, de préférence en tant qu administrateur expérimenté du service DNS. Avertissement : les configurations incorrectes de BIND peuvent provoquer de graves incidents réseau. Chapitre 2 Service DNS 39

Qu est-ce que BIND? BIND est l acronyme de Berkeley Internet Name Domain. BIND s exécute sur des systèmes d exploitation basés UNIX et est distribué comme logiciel open source. BIND est actuellement employé sur la majorité des serveurs de noms sur Internet. BIND se configure en modifiant les fichiers texte contenant des informations sur son comportement et sur les serveurs de votre réseau. Pour en savoir plus sur DNS et BIND, vous trouverez une liste de ressources en fin de chapitre. BIND sur Mac OS X Server Mac OS X Server utilise la version 9.2.2 de BIND. Vous pouvez démarrer et arrêter le service DNS sur Mac OS X Server en utilisant l application Admin Serveur. Vous pouvez également utiliser Admin Serveur pour afficher l état du DNS et les statistiques d utilisation. Fichier de configuration BIND Par défaut, BIND recherche un fichier de configuration nommé named.conf dans le répertoire /etc. Ce fichier contient des commandes que vous pouvez utiliser pour configurer de nombreuses options de BIND. Il indique également le répertoire à utiliser pour les fichiers de données de zones. Fichiers de données de zones Les fichiers de données de zones correspondent à des couples de fichiers d adresses et de fichiers de recherche inversée. Les enregistrements d adresses relient des noms d hôtes (hôte1.exemple.com) à des adresses IP. Les enregistrements de recherche inverse font le contraire, c est-à-dire relient des adresses IP à des noms d hôtes. Les fichiers des enregistrements d adresses sont nommés à partir du nom de domaine par exemple, exemple.com. Le nom des enregistrements de recherche inverse ressemble à une adresse IP partielle, comme db.192.168.12. Par défaut, les fichiers des données de zones se trouvent dans /var/named/. Exemple pratique L exemple suivant vous permet de créer, à l aide de BIND, une configuration DNS de base pour un réseau ordinaire, à l arrière d un périphérique NAT (Network Address Translation) connecté à un fournisseur d accès. Le port (câble modem/dsl/connexion téléphonique/etc.) connecté à votre FAI est appelé ici interface WAN. Le port connecté à votre réseau interne est quant à lui appelé interface LAN. Les fichiers exemples dont vous avez besoin sont installés avec Mac OS X Server dans les répertoires indiqués ciaprès. Cet exemple suppose également ce qui suit : L adresse IP de l interface WAN est déterminée par votre FAI. L adresse IP de l interface LAN est 10.0.1.1. L adresse IP de l ordinateur sous Mac OS X ou Mac OS X Server qui sera utilisé en tant que serveur DNS est 10.0.1.2. Les adresses IP des ordinateurs clients sont comprises entre 10.0.1.3 et 10.0.1.254. 40 Chapitre 2 Service DNS

Si les adresses IP sont affectées par le périphérique NAT via DHCP, elles doivent être configurées avec les informations ci-dessus. Reportez-vous à la documentation de votre routeur ou de votre passerelle pour obtenir des instructions de configuration du serveur DHCP. Si votre périphérique NAT se connecte à Internet, vous devez également connaître les adresses du serveur DNS affectées par votre fournisseur d accès. Installation des fichiers de configuration exemples Les fichiers exemples se trouvent dans /usr/share/named/examples. Ils supposent le nom de domaine exemple.com derrière le périphérique NAT. Ceci peut être changé, mais vous devez alors procéder dans tous les fichiers de configuration modifiés. Cela implique également de renommer /var/named/exemple.com.zone avec le nom de domaine donné, par exemple, /var/named/foo.org.zone Pour installer les fichiers exemples : 1 Dans Terminal, connectez-vous comme root. 2 Saisissez la commande suivante : cp /etc/named.conf /etc/named.conf.old Cela enregistre une copie du fichier de configuration du processus. 3 Saisissez ensuite la commande suivante : cp /usr/share/named/examples/db.10.0.1.sample /var/named/10.0.1.zone Cela copie le fichier exemple pour la zone NAT. 4 Saisissez la commande suivante : cp /usr/share/named/examples/example.com.sample /var/named/example.com.zone Cela copie le fichier exemple pour votre domaine. 5 À présent, saisissez la commande suivante : cp /usr/share/named/examples/named.conf.sample /etc/named.conf Cela permet d effectuer une copie dans le fichier de configuration exemple du processus named. 6 En utilisant un éditeur de texte à ligne de commande (tel que pico ou emacs), ouvrez / etc/named.conf pour le modifier. 7 Suivez les instructions du fichier exemple pour appliquer les modifications adaptées à votre installation. 8 Enregistrez les modifications apportées à named.conf. 9 Utilisez Admin Serveur pour démarrer le service DNS. Chapitre 2 Service DNS 41

10 Dans la fenêtre Réseau des Préférences Système, modifiez les serveurs de noms de domaines pour que figure uniquement l adresse IP du nouveau serveur DNS, 10.0.1.2. Configuration des clients Si les adresses IP de vos ordinateurs clients sont affectées de manière statique, changez les serveurs de noms de domaines dans chaque volet Préférences réseau pour répertorier uniquement l adresse IP du nouveau serveur, 10.0.1.2. Si vous utilisez Mac OS X Server comme serveur DHCP : 1 Dans Réglages du serveur, cliquez sur l onglet Réseau, cliquez sur DHCP/NetBoot et choisissez Configurer DHCP/NetBoot. 2 Dans l onglet Sous-réseau, sélectionnez le sous-réseau sur le port Ethernet intégré et cliquez sur Modifier. 3 Dans l onglet Général, entrez les informations suivantes : Début : 10.0.1.3 Fin : 10.0.1.254 Masque de sous-réseau : 255.255.255.0 Routeur : 10.0.1.1 4 Cliquez sur l onglet DNS et saisissez les informations suivantes : Domaine par défaut : exemple.com Serveurs DNS : 10.0.1.2 5 Cliquez sur le bouton Enregistrer et quittez les Réglages du serveur. Remarque : les ordinateurs clients ne reçoivent pas immédiatement les nouvelles informations de configuration IP. Le délai dépend de la date d expiration de leur bail DHCP. Vous devez éventuellement redémarrer les ordinateurs clients pour que les changements soient effectifs. Vérification de votre configuration Pour vérifier que les étapes ont été configurées avec succès, ouvrez Terminal, situé dans /Applications/Utilitaires et saisissez les commandes suivantes (en remplaçant serveur.exemple.com par le nom de domaine local, le cas échéant) : dig serveur.exemple.com dig -x 10.0.1.2 Remarque : si cet exemple de configuration standard ne répond pas à vos besoins, Apple vous recommande de ne pas essayer de configurer DNS par vous-même et de recourir aux services d un consultant professionnel ou de rechercher d autres informations. 42 Chapitre 2 Service DNS

Utilisation de DNS avec des adresses IP affectées dynamiquement Le DNS dynamique est un mécanisme qui vous autorise à modifier la liste Adresses IP/ Noms de domaine sans avoir à demander au serveur de noms de recharger la liste modifiée. Cela signifie que vous pouvez mettre à jour le serveur de noms à distance et modifier facilement les données DNS. Vous pouvez utiliser le DNS dynamique avec le service DHCP. Un serveur DHCP affecte une adresse IP dynamique à chaque ordinateur client au démarrage de l ordinateur. Étant donné qu un serveur DHCP peut affecter des adresses IP au hasard, il peut être utile d affecter rapidement des noms DNS significatifs à ces adresses. Par exemple, si Paul démarre son ordinateur en arrivant au travail le matin et que le serveur DHCP lui affecte une adresse IP dynamique, une entrée DNS paul.exemple.com peut être associée à cette adresse IP. Même si l adresse IP de Paul change chaque fois qu il démarre son ordinateur, son nom DNS reste identique. Cela permet aux utilisateurs de communiquer avec l ordinateur de Paul sans connaître son adresse IP. Vous pouvez également utiliser un DNS dynamique pour fournir des noms d hôtes statiques aux utilisateurs qui se connectent à Internet via un modem. Un FAI peut configurer un DNS dynamique afin qu un ordinateur familial garde le même nom d hôte à chaque nouvelle connexion. Autres sources d informations Pour plus d informations sur DNS et BIND, consultez : DNS and BIND, 4ème édition, de Paul Albitz et Cricket Liu (O Reilly and Associates, 2001) Le site Web de l International Software Consortium : www.isc.org et www.isc.org/products/bind/ (en anglais) Le DNSRD (DNS Resources Directory) www.dns.net/dnsrd/ (en anglais) Les documents RFC Les documents RFC (Request for Comments) offrent un aperçu d un protocole ou service et présentent de manière détaillée comment le protocole doit se comporter. Si vous êtes administrateur serveur débutant, vous trouverez probablement certaines informations utiles dans les RFC. Si vous êtes administrateur serveur expérimenté, vous trouverez tous les détails techniques sur un protocole particulier dans le document RFC correspondant. Vous pouvez rechercher les documents RFC par numéro sur le site Web www.faqs.org/rfcs A, PTR, CNAME, MX -Pour plus d informations, consultez le RFC 1035 AAAA- Pour plus d informations, consultez le RFC 1886. Chapitre 2 Service DNS 43

3 Service de coupe-feu IP 3 Le service de coupe-feu est un logiciel qui protège les applications de réseau exécutées sur votre Mac OS X Server. L activation du service de coupe-feu est similaire à la construction d un mur afin de limiter l accès à votre serveur. Le service de coupe-feu IP examine les paquets IP entrants et les refuse ou les accepte en fonction des filtres que vous avez créés. Vous pouvez limiter l accès à un service IP quelconque fonctionnant sur le serveur et personnaliser les filtres pour tous les clients entrants ou pour une plage d adresses IP clientes. L illustration ci-dessous montre un exemple de service coupe-feu. Un ordinateur dont l adresse IP est 10.221.41.33 tente de se connecter au serveur via Internet (port 80). Le serveur commence à rechercher les filtres. Y a-t-il un filtre pour le port 80? Oui Y a-t-il un filtre contenant des adresses IP 10.221.41.33? Non Localisez le filtre N'importe quel port dans la plage la plus spécifique comprenant l'adresse 10.221.41.33. Oui Que spécifie le filtre? Refuser Autoriser Connexion établie Connexion refusée 45